מה קורה כשהפרטים האישיים שלנו דולפים מחוץ לארגון?

בשבועות האחרונים התפרסמו ידיעות בדבר כתבי תביעה שהוגשו נגד חברות, בגין הפרה של חוק הגנת הפרטיות.

כך, לבית המשפט המחוזי מחוז מרכז בלוד כך, תביעה הוגשה נגד לאומי קארד. בכתב התביעה נכתב בין היתר, כי "…לתדהמת לקוחות לאומי קארד, הובהר בתקופה האחרונה כי היא הפרה את חוק הגנת הפרטיות – בשל רשלנותה והפרת חובותיה, היא איפשרה לעובדיה לגנוב את פרטי לקוחותיה, לרבות פרטי כרטיסי האשראי של אותם לקוחות, אשר היו במאגר המידע שלה".

החודש הודיעה הרשות להגנת הפרטיות, כי נפתח הליך פיקוח עקב אירוע דליפת מידע רגיש משרת של מחשב של עמותת טף (עמותה לאימוץ בין-ארצי).

בבדיקה של מומחי אבטחת המידע ברשות, התגלה ליקוי אבטחת מידע. הליקוי הביא לחשיפתו של מידע אישי רב ורגיש, אשר כלל תצלומים, מסמכים ומידע אישי, לרבות מידע פיננסי ובריאותי של משפחות מאמצות, ילדים מאומצים ואף עובדי העמותה.

הדוגמאות הללו מדגישות את הצורך, שכבר פורט ברגולציות הפרטיות הישראלית והאירופית, בטיפול מהיר במקרה של אירוע דליפת מידע.

צורה שונה מהכוונה המקורית

אירוע דליפת מידע הינו אירוע של הפרת אבטחת המידע המביא להרס, תאונה, שינוי, גילוי בלתי מורשה, או גישה למידע אישי שנשלח, מאוחסן, או מעובד – בצורה שונה מהכוונה המקורית. בהגדרה זו "מידע אישי" פירושו – כל דבר שיכול להוביל לזיהוי של אדם מסוים, או אנשים מסוימים.

במקרה של דליפת נתונים אישיים, על הארגונים להודיע על כך לרשויות הפיקוח. בישראל הפיקוח מבוצע על ידי הרשות להגנת הפרטיות ובאירופה, כל ארגון שחלה עליו רגולציית ה-GDPR על ידי האיחוד האירופי, חייב אף הוא בדיווח.

ההפרות נחלקות על פי העקרונות הבאים: האחד, הפרת סודיות המידע – גילוי בלתי מורשה, או מקרי, של נתונים אישיים – או גישה אליהם; השני, הפרת שלמות המידע – שינוי בלתי מורשה, או מקרי, של נתונים אישיים; השלישי, הפרת זמינות המידע – אובדן או הרשאה לבלתי מורשים לגישה לנתונים אישיים, או הרס שלה; הרביעי, מחיקה של נתונים בטעות על ידי אדם לא מורשה, או אובדן מפתח פענוח במקרה של נתונים מוצפנים, או חוסר זמינות, עקב תקלה בחשמל או בזמינות השירות.

חובת הדיווח, כפי שהיא מוגדרת ברגולציית ה-GDPR, כוללת מתן הודעה לגבי אירוע הדליפה ללא עיכוב שלא לצורך, וכאשר הדבר אפשרי, לא יאוחר מ-72 שעות לאחר שנודע לארגון על כך. לדוגמה, במקרה של פריצת הנתונים ב-Equifax, הארגון המתין ששה שבועות לפני שהודיע על כך בפומבי. נראה כי עיכוב זה בהודעה רק החמיר את המצב: המנהלים השתהו עם הדיווח וביצעו פעולות של מכירת מניות בחברה, ובינתיים נמנעה מהציבור האפשרות לנקוט בפעולות כדי להגן על עצמם מפני גניבת זהותם.

האם דליפת נתונים מעמידה בסיכון זכויות וחירויות של יחידים?

ההודעה לרשות הפיקוח חייבת לכלול, לכל הפחות, את הפרטים הבאים: אופי אירוע הדליפה של נתונים אישיים, כולל נתונים ורשומות נתונים אישיים שהושפעו מאירוע הדליפה; פרטי איש הקשר של הארגון; ההשלכות האפשריות של ההפרה; הצעדים שננקטו, או שהוא הציע לנקוט בהם – על ידי מנהל אבטחת המידע.

ומה לגבי הדיווח לאנשים אשר הנתונים שלהם הודלפו? השאלה אם יש להודיע לאנשים על דליפת הנתונים האישיים שלהם – תקבל מענה בבדיקה האם דליפת הנתונים מעמידה בסיכון גבוה זכויות וחירויות של יחידים.

בסופו של דבר, התמריץ העיקרי ליישום הדרישות למניעת דליפות מידע, הוא רמת הענישה הגבוהה. עם עונשים פוטנציאליים העלולים להגיע עד 4% מההכנסה הגלובלית של הארגון, ההשפעה של כל הפרה על יציבותו של הארגון עלולה להיות קיצונית. לכן, ארגונים חייבים להבטיח כי הם מסוגלים להגן על הנתונים של הפרט, ולפעול על מנת לשמור על האינטרסים של נתוני המשתמשים, הנשמרים, או מעובדים אצלם.

אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.